Il y a souvent un écart entre ce que le RGPD attribue comme missions au DPO et ce qu’il est amené à faire dans la pratique.
Rappelons ici que les missions du DPO sont listées à l’article 39 du RGPD :
a. Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
b. Contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
c. Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
d. Coopérer avec l’autorité de contrôle ;
e. Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
D’autres articles rappellent / renvoient à cela, par exemple le 35.2 qui dispose « Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné ».
En résumé :
1. Conseiller ;
2. Contrôler ;
3. Être le « relais » de l’organisme avec l’autorité de contrôle.
Voyons et analysons maintenant quelques tâches que le RGPD n’attribue PAS (ou pas en totalité) au DPO, mais qui lui sont souvent demandées (ce qui n’est pas contraire au RGPD, cf. le 39.1 « Les missions du délégué à la protection des données sont au moins les suivantes »).
Tenir les registres Responsable de Traitement (30.1) ou Sous-traitant (30.2)
Le RGPD n’attribue pas la tenue du registre au DPO mais il est important que celui-ci s’en charge. En effet, ce registre est le pivot non pas de la conformité elle-même, mais de son pilotage par le DPO. A ce sujet, - et je ne doute pas que cela amènera des commentaires - la conformité en soi n’est pas de la responsabilité du DPO. Il suffit de lire le RGPD pour voir que cette conformité est de la responsabilité du responsable de traitement, le DPO jouant un rôle de conseil et de contrôle.
N.B. : dans l’ancienne Loi « Informatique et Libertés » datant d’avant le RGPD, ou plus exactement dans son décret d’application (Décret n°2005-1309 du 20 octobre 2005), lorsqu’un Correspondant Informatique et Libertés (l’ancêtre du DPO en droit français) était désigné, alors la tenue du registre lui incombait (Art. 47 : « Le responsable des traitements fournit au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements automatisés mis en œuvre … » ; Art. 48 : « Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l’article 47 »).
Ainsi, même si selon le RGPD l’obligation de tenir un registre incombe bien à l’organisme responsable de traitement ou sous-traitant et non au DPO, il parait cohérent que ce dernier s’en charge en pratique.
Effectuer les Analyses d’Impact relatives à la Protection des Données (AIPD)
Il s’agit là selon ANAXIA CONSEIL d’une erreur importante. Certes le DPO doit indiquer les AIPD à réaliser, vérifier leur bonne exécution (leur complétude) et donner un avis (sur le risque résiduel). Cependant, est-ce bien à lui de mener les AIPD ?
• Qui est le plus à même (en théorie) de déterminer les scenarii menant à des « événements indésirables » ?
• Qui devrait évaluer chaque risque (vraisemblance et gravité) ?
Les « métiers » bien sûr, avec l’aide de la DSI sur les aspects techniques et celle du DPO lorsque nécessaire. Or nous avons vu de nombreux cas, lors de nos missions de conseil et lors de nos formations où le DPO réalise intégralement l’AIPD avec un simple input des métiers.
Le DPO est ainsi chargé seul de déterminer les risques, évaluer la vraisemblance et gravité de chaque, les impacts sur les personnes … C’est une erreur selon nous.
Dans le cadre de nos missions de DPO externe, et même si cela peut paraître étonnant d’un point de vue commercial, nous indiquons et insistons auprès de nos clients pour ne pas réaliser les AIPD tout en prenant notre part. Nous pouvons les former, les aider sur la première mais idéalement pas les réaliser. Lorsque nous les réalisons, c’est avec des rendez-vous avec les métiers (qui DOIVENT se positionner) et la DSI. En effet, le DPO doit avoir un rôle de pilote et non de réalisateur de l’AIPD.
Notifier et communiquer les violations
Le DPO doit bien sûr piloter la gestion des violations et établir une procédure. Cependant, est-ce à lui d’effectuer l’éventuelle notification à la CNIL et surtout, lorsque le risque est élevé, la communication aux personnes concernées ?
Selon ANAXIA CONSEIL, le rôle du DPO est le suivant :
• Proposer son analyse du niveau de gravité (et le responsable de traitement fait sa propre analyse et décide) ;
• Réaliser (sur demande écrite et après avoir obtenu tous les éléments nécessaires des métiers et de la DSI ) l’éventuelle notification à la CNIL ;
• Donner un avis sur la communication aux personnes concernées tant sur l’obligation de réaliser celle-ci que sur son contenu. Cependant, ce n’est en aucun cas au DPO de rédiger cette communication. Cette communication aux personnes concernées est un acte politique par lequel le responsable de traitement va indiquer ce qu’il s’est passé et surtout informer sur les conséquences possibles de cela.
Ainsi, le DPO conseille, pilote, mais ne gère pas à lui seul les violations de données personnelles.
Répondre aux demandes de droit
Le DPO doit, avec les métiers, proposer une procédure de gestion des demandes de droit. Il doit s’assurer que chaque demande est traitée dans les forme et délai requis par le règlement européen.
Cependant, le RGPD n’impose pas au DPO d’être seul en charge de la gestion des demandes de droit. Il pourra proposer une mention d’information pour le courrier de réponse (la gestion des demandes de droit étant un traitement), valider le courrier (complétude) voire selon les cas le co-signer. Néanmoins, ce sont les métiers qui peuvent, selon le droit exercé, réunir les données pour les transmettre au demandeur, supprimer les données ou les rectifier, prendre en compte l’opposition au traitement, isoler les données pour en limiter le traitement ou encore permettre la portabilité des données.
En conclusion, notre approche tient à un point simple : le respect du RGPD dans un organisme n’est pas le domaine réservé du DPO, mais bien l’affaire de tous. Laisser croire qu’une fois un DPO désigné, la conformité est assurée est non seulement utopique mais très risqué.
Le rôle du DPO n’est pas non plus de prendre la décision finale sur la réalisation d’un projet. Il est d’éclairer, d’alerter, de conseiller, d’aider, d’assister. Le DPO ne doit pas prendre des décisions à la place du responsable de traitement.
J’ai souvent eu des regards dubitatifs en expliquant cela depuis 2016 (date d’entrée en vigueur du RGPD). Pourtant, il suffit de lire le guide du DPO de la CNIL pour avoir confirmation du rôle de ce dernier.
Bien que le RGPD soit applicable depuis maintenant plus de cinq ans, force est de constater que ces principes simples ne sont pas toujours compris par les responsables de traitement, voire parfois par les DPO eux-mêmes.
Combien de fois avons-nous entendu lorsque nous formons des DPO : « Ah bon ce n’est pas à moi de FAIRE les AIPD ? ».
Et demain ?
Rappelons que la « Loi Informatique et Libertés » est née du fait de la croissance de l’informatique et des risques induits. Elle en tient d’ailleurs son nom qui a malheureusement parfois conduit à assimiler à tort les problématiques de données personnelles à des problématiques purement informatiques.
La dématérialisation ne cesse de croître et le « tout numérique » est en marche rapide, ce qui rend ces risques plus nombreux. De nouveaux textes sont en vigueur ou en projet (DMA, DSA, règlement sur l’IA, …). Le DPO devra étudier ces textes et en évaluer les impacts sur sa mission. A titre d’exemple, certaines IA traitant des données personnelles et le règlement sur l’IA s’inscrivant dans un objectif de transparence et de protection des personnes tout comme le RGPD, il est pertinent d’envisager que sa mise en œuvre soit confiée au DPO.
Tout cela fait que notre passionnant métier de DPO a encore de beaux jours devant lui !
Un conseil en guise de conclusion à l’attention des DPO débutants : au-delà des connaissances à acquérir, deux maîtres mots à retenir : diplomatie et pragmatisme.
Christophe CHAMPOUSSIN – Gérant
ANAXIA CONSEIL
christophe.champoussin chez anaxia-conseil.fr